防护宝典:各种病毒分析及攻击防御手册(7) 以上4类程序的介绍,为了降低学习难度,我是单态方式来介绍的。事实上目前的病毒大多以具有上面4类程序中的2到3类的特征,因此无论感染,传播,杀除的困难都大大增加。例如发文前夕的mydoom新变种病毒的分析中:它利用系统漏洞/邮件群发/共享漏洞方式传播(具备了蠕虫、脚本病毒和新型病毒的传播特性),进驻用户系统后上载自身并运行(木马特性),获取用户本地outlook中的地址本(木马特性),通过调用Google等搜索引擎获取用户email地址本中同后缀的相关选项(调用系统程序,木马功能),再主动给地址本中的每个程序发出email(木马特性)。对待这样一个病毒,无论是系统存在漏洞、共享安全设置不当、或者随意地打开了“朋友”发来的email,都可能导致中毒。关于中毒途径的分析,留待下一站《攻击防御之旅》内一并介绍。 在从第一个病毒出现到现在,已经有整整半个世纪了,病毒的发展日新月异,令查杀的困难大大增加,造成的损失也异常巨大。或许,计算机病毒这个幽灵,从计算机诞生的那一刻起就注定要如影相随的。只要还有用心险恶的人存在,那么病毒就不会消亡。病毒之战,恐怕会在今后的日子里越演越烈…… 第二站、攻击防御之旅 除了病毒,互联网络上还有一股暗潮——人为攻击。 早期的攻击者大多是技艺高超之辈,他们对服务器的系统、程序相当熟悉,常常通过寻找他人系统中的漏洞来提高自身技术水平,并以此为乐。不过他们的默认准则之一是不攻击普通终端用户、进驻服务器后不改变服务器重要设置。那是一群令人尊敬的人,他们在技/艺的边缘地带行走,以自己独特的方式磨练着自己;独特立行,或许你曾因为各种原因在im软件上,在web论坛中,在irc聊天室里与他们匆匆邂逅又匆匆离别,却茫然不知道他们的真正身份;都是真正意义上的技术好手,对操作系统,网络协议,编程语言都有相当造诣,他们中相当一部分人的正当职业就是高级程序员、系统分析师、网络管理员——这类人,我们尊敬地称他们为“黑客”,俗称“黑帽”。 到了商业时代,随着金钱利益的驱动,行行色色的各类人进入了互联网。其中有一群被金钱利益驱动着的人,他们也有着不错的技术,却被金钱物欲所俘获,将自己的技术和灵魂出卖给金钱——只要为了经济利益,可以不择手段地进行破坏。他们对没利益的终端个人用户也没有什么兴趣,相比之下服务器更令他们青睐。把攻击得逞的服务器做成肉鸡以备后用是他们的习惯之一。这类人,我们称他们为“骇客”,俗称“灰帽”。 就如有影就有光一样,网络上也有跟“骇客”相反的一类人,他们以研究系统漏洞、帮助企业实施安全方案为职,我们称他们为“安全顾问”。他们具有足以和“骇客”匹敌的能力,网络上的商业服务器攻防之战大多是在他们与“骇客”之间展开,,俗称“白帽”。 最后一类,可说是堕落的平庸者。使用着前几类人所开发者的工具,对网络上的机器——不管是终端用户还是服务器进行扫描;看到有漏洞的系统就又使用他人的教程、工具尝试进入,并在进入之后大肆进行破坏;在无法进入的时候,甚至就直接用DDOS攻击了事。他们破坏的理由大多是为了逞一时之愉快或为了炫耀自己而已,这类人没有什么技术可言,行为也无道德可言。他们不具备扎实地技术功底,大多是使用前三类高手所开发的工具,这样的一类人,一般被称为“脚本小子”。值得附带一提的是,国内不少所谓“安全站点”上驰骋风云、威风八面的“高手”也不过就属于这类档次的混混而已——不知天高地厚的自吹自擂也是这类家伙常见的特性之一呢。 对个人用户而言,由于不具备较大的经济利益,因此前三类人一般不会染指用户的计算机。让用户深受其害的,常常是脚本小子的所为。 攻击的六大步骤 首先,让我们看看这类家伙是怎么样一步步发起攻击的,一次典型的正面攻击大概分这么几步来进行,值得一提目前的网络病毒传染方式从实质上来讲也是一种自动攻击,因此下面的步骤对待病毒也是同样适用; 1.利用扫描工具批量ping一个段的地址,判断存活主机; 为了加快感染的速度,常常是ping不通的主机就放弃后续的操作,相当多的病毒均是属于先ping目标主机,再进行感染操作的; 2.扫描所开放端口; 针对常见的默认端口来猜测服务器的性质,如80是web服务器;21是ftp,22是 ssh,25是smtp等等;
